rkhunter reports / sbin / ip foi alterado

Navegue suas respostas
1

Estou usando o rkhunter 1.4.2 no CentOS 6.5.

Uma mensagem em /var/log/rkhunter.log é 

Warning: The file properties have changed:
[09:40:35]          File: /sbin/ip
[09:40:35]          Current size: 247396    Stored size: 247300
[09:40:35]          Current file modification time: 1415276490 (06-Nov-2014 07:21:30)
[09:40:35]          Stored file modification time : 1401361583 (29-May-2014 07:06:23)

Eu usei ip -V e consegui 

  ip -V
  ip utility, iproute2-ss091226

que parece implicar que é parte de um pacote a partir de 2009. Eu tentei reinstalar o iproute2 e obtive o seguinte resultado. 

$ sudo yum install iproute2
Loaded plugins: fastestmirror, refresh-packagekit, security
Setting up Install Process
Loading mirror speeds from cached hostfile
 * atomic: www.atomicorp.com
 * base: mirror.lug.udel.edu
 * epel: mirror.nexcess.net
 * extras: mirrors.lga7.us.voxel.net
 * rpmforge: repoforge.mirror.constant.com
 * updates: ftpmirror.your.org
No package iproute2 available.
Error: Nothing to do

Eu tenho o MD5 para / sbin / ip da seguinte forma 

$ md5sum /sbin/ip
f86d18c6c94096baf9dc6623e9fbe615  /sbin/ip

Uma busca no Google por esse MD5 não produziu resultados, então não posso dizer se corresponde a uma versão legítima de / sbin / ip.

    
por OtagoHarbour 15.11.2014 / 16:56

1 resposta

2

O pacote em questão é iproute não iproute2 no CentOS.

Sem incluir a arquitetura, é difícil para outras pessoas verificar a soma md5 do seu executável. Uma maneira de verificar é, de uma máquina que você confia, puxar manualmente o rpm dos espelhos centos, descompactá-lo e ver os arquivos.

Quando faço isso para as últimas versões do mirror.centos.org (2.6.32-33), recebo: 

x86_64 2d08ea6c0e0e8360f7618ba549101fb8  /sbin/ip
  i386 d9bea3a3fda11e9b3822f796601e75d0  /sbin/ip

Nenhum dos dois corresponde ao seu. Se você tiver preocupações, você obviamente pode querer tirar a máquina da órbita. Meu palpite é que o iproute foi atualizado recentemente. Olhando para a data do pacote iproute aqui:

link

Existe um pacote com a última modificação de 06-nov-2014 14:07.

O fato de seu md5sum para este executável não corresponder ao acima pode significar que (0) você tem um executável comprometido, (1) você não está atualizado para a versão que eu verifiquei, (2) espelho local em que algum administrador reconstruiu o pacote com sinalizadores de compilação específicos do site, (3) a instalação do RPM deu errado e seu executável está incorreto devido a uma falha na descompactação ou algum outro erro. Ou outras opções, tenho certeza.

Você também pode tentar rpm -V -f /sbin/ip para verificar o arquivo no banco de dados RPM. No entanto, se você tem uma razão para acreditar que a máquina foi comprometida, fazer uma análise dela com ferramentas na mesma máquina também é um pouco suspeito, já que qualquer uma delas poderia ter sido modificada para mentir para você.

    
por 15.11.2014 / 18:26

Tags

Algum evento é gerado quando a proximidade da caneta é detectada? Procura de um ficheiro no Unix para uma determinada cadeia de caracteres e, em seguida, outro conjunto de cadeias de caracteres dentro deste ficheiro e imprime também as propriedades do ficheiro